平衡发展与保护加强个人信息保护的路径研究

< p >文│刘显刚、何艳哲

来自中国电子技术标准化研究所

目前，数字浪潮已经席卷全球所有行业。区别仅在于深度、广度和速度。特别是随着大数据、物联网和人工智能等新兴技术的快速发展，数据创造的价值得到了前所未有的挖掘和利用。作为一种特殊的数据资源，个人信息具有巨大的价值，并且被过度收集和滥用。就连侵犯公民隐私和网络欺诈等网络犯罪也十分猖獗。公民对加强监管的要求很高，这已成为NPC和CPPCC提案及媒体报道的焦点。

欧盟《一般数据保护条例》(GDPR)推动全球隐私保护加快立法进程GDPR条约正式实施已经一年了。业内一些专家认为，GDPR存在实施过于复杂、制约技术创新发展、增加公司运营成本、影响欧洲科技初创企业活力等问题。本文试图从发展与保护平衡的角度，回答如何加强个人信息保护，促进高质量产业发展的路径和方法。

1。个人信息保护

的现状与问题 1992年2月28日，中国互联网信息中心(CNNIC)发布了第43期《中国互联网发展统计报告》，显示中国有8.29亿互联网用户。中国是世界上最大的互联网用户国家，一个真正的个人信息国家，超过了排名第二的印度和第三的美国的互联网用户总数。然而，在2016年震惊全国的徐玉玉事件中，高考信息的披露是她因欺诈而不幸死亡的一个重要原因。2018年6月16日，招聘网站上有195万份求职者简历被泄露。6月19日，童渊快递售出10亿份快递数据。8月28日，5亿中国酒店客人的数据被售出。9月10日，万豪集团5亿客户信息被泄露等。为什么反复禁止披露个人信息？个人信息保护有什么问题？

1年。法律法规正处于重要的发展阶段，而分散立法的问题更是突出

据统计，全球已有超过107个国家颁布了隐私保护立法，全球个人信息立法总体趋势趋于严格。2018年，欧盟的《一般数据保护条例》(GDPR)正式实施，被业界视为数据安全的第一年。2019年6月17日，美国信息技术与创新基金会(ITIF)发布了“GDPR实施一年的影响”，其中显示，美国三分之一的最大新闻网站在GDPR实施两个月后关闭了欧洲访问，因为它们没有遵守GDPR的规定。截至2019年3月，美国仍有1129家新闻网站关闭了欧洲访问。GDPR导致创业投资减少，这可能导致欧盟每年失去约3万个工作岗位。

我国有关个人信息保护的法律法规可分为法律、行政法规、部门规章和多层次规范性文件统计显示，中国有近40部法律、30多部法规、200多部规章和规范性文件涉及个人信息保护。在法律层面，《网络安全法》是我国网络安全领域的基本法和通则。还有《民法通则》、《刑法》、《消费者权益保护法》和《全国人大常委会关于加强网络信息保护的决定》等。行政法规包括《征信业管理条例》等。部门规章和规范性文件包括《侵犯消费者权益行为处罚办法》和《电信和互联网用户个人信息保护条例》。这些法律法规有效地支持了我国现有的个人信息保护和监管工作，如下图所示

地图:中国部分个人信息保护法律法规图集

现行零散分散的立法效果有限，相当一部分是原则性和宣誓性的，难以对实践产生直接影响。2018年9月，中国的《个人信息保护法》被列入NPC常委会立法计划，并成为任期内提交审议的第一类项目。这标志着立法发展的一个重要阶段。《个人信息保护法》的颁布实施将实现中国从分散立法向集中立法的转变。

2年。个人信息保护的范围继续扩大，保护难度继续增加256以上

从个人信息的概念来看，两所高中《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中的个人信息的定义，是指能够单独或结合其他以电子或其他方式记录的信息，识别特定自然人身份或反映特定自然人活动的各种信息。根据《互联网安全法》，反映特定自然人活动的各种信息被扩大，最典型的是行踪追踪。从全球发展趋势来看，个人信息概念的外延越来越多样化，并将随着技术的发展和演变而不断扩展。

新技术和新应用增加了保护难度。在用户获得大数据后，精确的广告推送已经成为一种非常普遍的商业模式。尽管互联网公司已经承诺采用去身份识别技术，这种技术可以确保根据“一千个人一千张脸”的原则，也就是说，该算法只会将信息推给网络设备和虚拟人，但用户仍然感到他们的行为受到全方位的监控，并担心个人信息的泄露。为了实现对用户行为的全方位描述，并利用算法对用户的个人信息进行深入分析，企业在收集个人信息时往往会偏离法律法规所强调的“最低限度”原则。

3年。监管处罚的整体威慑效果不足，公众的认知水平不高

1992019年7月，脸谱网宣布与美国联邦贸易委员会达成50亿美元的罚款协议，结束联邦贸易委员会对8700万脸谱网用户披露和滥用信息的调查，这是对个人信息安全事件有史以来最大的罚款。尽管中国监管部门加大了对个人信息侵权的司法打击力度，但总体处罚相对较轻，难以形成足够的威慑效果。对“一万元以上十万元以下”的直接负责人处以罚款，对于一般规模的企业来说，这种处罚过轻。此外，相关法律规定，情节严重的，可处以暂停相关业务、停业整顿、关闭网站等处罚。然而，监管机构通常会实施处罚，如采访、通知、责令整改或媒体曝光。目前，效果并不令人满意。一些企业经常被监管部门和媒体曝光，但整改仍未到位。如果打击行动难以产生阻吓作用，是否表示纵容不法分子对守法人士不公平，导致坏硬币驱逐好硬币的恶性循环

此外，公众对个人信息的整体认识不高，这主要体现在两个方面。首先，预防意识相对薄弱。根据《中国个人信息安全与隐私保护报告》的调查数据，55%的参与者从未表明证件复印件的用途。34%的受访者只想确保他们的手机是在线的，不会使用免费的无线网络进行认证。另一方面，公民也会因缺乏认知而带来不必要的恐慌。例如，当谈论某个产品时，他收到了该产品的推荐信息，并怀疑自己被窃听了。指纹、虹膜、刷脸等生物识别技术，将采集到的个人信息通过算法进行转换，不是原始的生物信息，而是用户不知道的信息；不同公司之间的合法数据交换通常采用匿名技术，用户通常担心信息泄露。

2。个人信息保护

路径研究

一、准确把握开发利用与隐私保护的关系我们应该充分发挥数据开发和利用在丰富应用、方便生活、提高效率和降低成本方面的重要作用。但是，如果我们不以公民的个人信息安全为前提，就很容易导致企业进入“无序行为”的局面。个人信息保护没有尽可能严格。如果过于严格，还会限制数据的交换和共享、开发利用和应用创新，容易导致企业在创新过程中面临“不敢做”的局面。

二、准确把握行业监管与行业促进的关系依法严厉打击各种形式的违法犯罪活动，如泄露个人信息、侵犯公民隐私、网络欺诈等。对重视保护公民个人信息、认真履行主要职责、积极响应监管部门要求的企业，要给予宣传和表扬。与此同时，我们将加大先进技术、优秀解决方案和标准化应用案例的宣传和推广力度，设立基准，提升全行业个人信息保护水平。

第三，准确把握公民期望与保护能力的关系目前，我国个人信息保护能力的水平与公民的期望还有很大差距。加强个人信息保护需要平衡两者之间的关系。中国个人信息保护的总体情况比较复杂，涉及面广，涉及环节多。一方面，有必要提高解决公民关切的能力，另一方面，也有必要考虑当前技术和监管能力的局限性，以及技术和工业发展水平，以便公民能够了解现有的工业保护能力水平。

第四，准确把握身份追踪与隐私保护的关系中国的交通、住宿、金融、快递等行业都有身份收集、验证和可追溯性的要求。公民也要求保护隐私。如何在两者之间取得平衡随着互联网战略和实名制的发展，我国有许多组织需要收集个人信息，这导致了能够披露个人信息的链接的增加以及保护整个行业隐私的难度的增加。从保护公民隐私的角度来看，采用第三方身份认证模式和网络身份识别技术可以有效保护公民隐私，还可以实现身份追踪。

第五，准确把握参考国际与自主发展的关系我国个人信息保护应坚持实事求是的原则。要积极吸收和借鉴适合我国国情的国际先进做法。还必须避免死记硬背和教条式的做法。只有权衡利弊，我们才能做出最有利、最科学的战略选择。中国可以借鉴欧盟模式，采取统一立法和执法，改善目前立法分散、多头管理的现状。我们可以借鉴美国行业自律的做法，倡导自愿认证，提高企业的个人信息保护水平。你也可以参考欧盟和美国共同的严格执法惯例，增加罚款金额，增加违法犯罪成本，惩罚违法犯罪活动中的个人信息，从而使监管执法更具威慑力。

此外，要坚持系统、综合、协调发展的方针，充分调动政府监管部门、第三方行业组织、企业、学术机构等主体的合作，综合运用法律、标准、监管、技术、市场、宣传等多种手段，逐步建立一套以法律法规支撑、监管执法为保障、标准规范为牵引、技术和市场为驱动、宣传教育为支撑的均衡监管治理和发展的科学路径。这种保护个人信息的方式满足了中国这个世界上最大的互联网用户国家的监管需求，以及极其复杂的隐私保护情况。这也符合中国的发展需要，中国在互联网产业、技术创新和强劲的产业发展方面仅次于美国。

3。加强个人信息保护的建议

1年。采用统一的立法模式，突出发展与保护的平衡

《个人信息保护法》只能通过统一立法模式，改变当前法律体系缺乏顶层设计的现状。一是通过统一立法明确基本法律规定的要求，统一和明确个人信息概念的范围、主要角色、个人信息主体的权利等。，从而摆脱行业立法的碎片化；二是通过统一立法，明确执法部门的定位，减少交叉执法，促进监督合力的形成。第三，立法必须在发展和保护之间取得平衡。法律不仅要有威慑作用，还要考虑促进技术创新。中国有自己的经济和社会特点。欧洲和美国的立法可能不完全合适。它必须坚持独立的立法路线。

2年。加强技术驱动的开发，提高整体保护级别

坚持技术驱动发展解决个人隐私保护的痛点一是缩小直接收集个人信息的范围。对于保护能力不足的企业，不能直接收集个人信息，使用第三方身份认证服务进行实名认证，如使用微信或支付宝账户登录其他应用。第二是使用不同的隐私和其他技术，而不是直接收集原始信息。收集的个人信息是嘈杂的，而不是原始的个人信息。第三，我们可以使用“安全多方计算”技术来实现数据的安全共享。第四，可以开发专门用于广告业务的标识，支持用户选择打开和关闭广告跟踪功能。如果用户关闭广告标识，广告商就找不到用户，等等。

3年。发挥标准平衡作用促进企业遵守

充分发挥标准在支持监管和提高能力、通过标准化促进发展与保护的平衡、促进企业遵守和符合标准、促进企业自愿获得标准认证等方面的核心作用一是加快制定支持法律法规落地的标准，细化法律法规的相关要求，为认定违法行为提供标准支持。二是推动科学合理的标准指标在实践中得到检验，输出到法律法规的规定中，丰富和完善法律法规的要求；第三是巩固基于标准的通用技术、方法和最佳实践，以便企业能够有可遵循的标准和可遵循的标准，从而提高整个行业的个人信息保护基线。

4年。加强监管和处罚，严厉打击黑产业链

只有加大处罚力度，严厉打击违法行为，才能营造良好的行业氛围。首先，如果侵犯个人信息情节严重，应责令其暂停相关业务、停业整顿、关闭网站等处罚，以达到警示和威慑作用。第二是集中力量攻击黑色产业链。要抓住关键的几个环节，积极发挥电信运营商、银行、大型互联公司等超级平台的作用，构建三维、多维的攻击体系。三是多部门联合，公安、工商信息、互联网信息、高科技检查、高科技法律、中国人民银行等部门联合治理，保持高压态势，有效打击持续专业化、产业化的黑色产业链。

5年。深化宣传教育工作，充分发挥广大公民的

作用

通过多种手段加大宣传教育力度，深入开展经常性教育培训工作，营造维护个人信息安全的良好氛围，人人有责人人参与。一是提高公民的防范意识，使公民能够理解和掌握保护个人信息的基本知识和方法，而不轻易给犯罪分子机会。第二，以易于理解的方式宣传隐私保护的基本知识，以便公民能够有一个基本的概念框架，减少对新技术和新模式的恐慌。三是充分发挥公民的广泛监督作用，积极宣传举报电话和举报平台，当公民遇到个人信息违法行为时，及时向主管部门和监管部门举报

(本文发表在《中国信息安全》杂志2019年第8期)

声明:本文来自中国信息安全，版权属于作者。文章的内容仅代表作者的独立观点，并不代表安全内部参考的立场。重印的目的是传递更多的信息。如果有侵权，请联系anquanneican@163.com